Skrevet af Jonathan Greig, personaleforfatter Jonathan Greig Personaleskribent
Jonathan Greig er journalist med base i New York City.
Fuld bio den 25. januar 2022 | Emne: Sikkerhed
Hackere bruger Microsoft OneDrive i en flertrins spionagekampagne rettet mod højtstående embedsmænd i det vestlige Asien, ifølge en ny rapport fra Trellix.
Forskere med Trellix kaldte den involverede malware “Graphite”, fordi den bruger Microsofts Graph API til at udnytte OneDrive som en kommando- og kontrolserver. Angrebet udnytter en MSHTML fjernudførelsessårbarhed (CVE-2021-40444) til at udføre en ondsindet eksekverbar fil i hukommelsen, ifølge Trellix.
“Som det ses i analysen af Graphite-malwaren, er en ret innovativ funktionalitet brugen af OneDrive-tjenesten som en kommando og kontrol ved at forespørge Microsoft Graph API med et hardkodet token i malwaren. Denne type kommunikation gør det muligt for malwaren at forsvinde ubemærket i ofrenes systemer, da det kun vil oprette forbindelse til legitime Microsoft-domæner og ikke viser nogen mistænkelig netværkstrafik,” forklarede Trellix.
Christiaan Beek, ledende videnskabsmand ved Trellix Threat Labs, fortalte ZDNet, at han var overrasket over at se Microsoft OneDrive brugt som en kommando- og kontrolservermekanisme og bemærkede, at det var “en ny måde at hurtigt interagere med de inficerede maskiner ved at trække de krypterede kommandoer ind i offerets mapper.”
“Næste OneDrive ville synkronisere med offerets maskiner og krypterede kommandoer, der blev udført, hvorefter den anmodede information blev krypteret og sendt tilbage til angriberens OneDrive,” sagde Beek og tilføjede, at hvad skilte sig mest ud for ham, var “flertrinstilgangen med en ny teknik, flere malware-eksempler og skuespillerens operationelle sikkerhed.”
Beek bemærkede, at angrebet var vellykket, men ville ikke dele flere oplysninger om hackernes mål og sagde, at efterforskningen stadig er i gang. Angrebet blev forberedt i juli 2021 og blev til sidst indsat mellem september og 5. november, ifølge Trellix-rapporten.
Trellixs Marc Elias sagde, at det var rettet mod “regeringsembedsmænd, der fører tilsyn med national sikkerhedspolitik og enkeltpersoner i forsvarsindustrien.”
Elias skrev, at angrebet er opdelt i flere faser, så det forbliver så skjult som muligt, og sagde, at selvom tilskrivning var vanskelig, var der nogle beviser for den potentielle skyldige.
“En række af angrebsindikatorerne og tilsyneladende geopolitiske mål ligner dem, der er forbundet med den tidligere afslørede trusselsaktør APT28. Selvom vi ikke tror på at tilskrive nogen kampagne udelukkende baseret på sådanne beviser, har vi en moderat grad af tillid til, at vores antagelse er nøjagtig “, skrev Elias. “Når det er sagt, er vi overbevist om, at vi har at gøre med en meget dygtig aktør baseret på, hvordan infrastruktur, malware-kodning og drift blev sat op.”
Den første fase af angrebet involverer “sandsynligvis” et spyd-phishing e-mail, der sigter mod at lokke ofre til at åbne en Excel-fil med navnet “parliament_rew.xlsx.”
Andre teknikker hjælper angriberen med at omgå nogle antivirus-scanningsmotorer og kontoranalyseværktøjer, så den kan fortsætte uopdaget.
“Det er meget sandsynligt, at udviklerne af Graphite brugte Empire OneDrive Stager som reference på grund af lighederne mellem funktionaliteten og filstrukturen, der blev brugt i OneDrive-kontoen for skuespillerne,” forklarede undersøgelsen.
“Et af de lokkedokumenter, vi nævnte før (kaldet 'parliament_rew.xlsx'), kunne have været rettet mod statsansatte. Udover at være målrettet mod statslige enheder, ser det ud til, at denne modstander også har sit syn på forsvarsindustrien. Et andet dokument med navnet ' Missions Budget.xlsx' indeholdt teksten 'Militære og civile missioner og operationer' og budgetterne i dollars for de militære operationer i nogle lande for årene 2022 og 2023.”
Fra deres telemetri opdagede de, at Polen og andre østeuropæiske lande var af interesse for hackerne og bemærkede, at lokkedokumenterne “viser, at dets aktiviteter er centreret i specifikke regioner og industrier.”
Rapporten bemærker, at angrebene fandt sted under grænsespændingerne mellem Armenien og Aserbajdsjan. Hackerne bag projektet arbejdede kun fra mandag til fredag, ifølge Trellix, og tidsstemplerne viser, at de kun arbejdede i normal arbejdstid i GMT+3 tidszonen, som inkluderer Moskva-tid, Tyrkiet-tid, Arabiens standardtid og Østafrika Tid.
“En anden interessant opdagelse under efterforskningen var, at angriberne brugte CLSID (D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D) til vedholdenhed, hvilket matchede med en ESET-rapport, hvori forskere nævnte en russisk operation rettet mod østeuropæiske lande. Analyse og sammenligning kodeblokke og sekvenser fra grafitmalwaren med vores database med prøver, opdagede vi overlap med prøver i 2018, der blev tilskrevet APT28,” forklarede Trellix.
“Selvom vi nævnte nogle taktikker, teknikker og procedurer (TTP'er) fra aktørerne bag denne kampagne, har vi simpelthen ikke nok kontekst, ligheder eller overlap til at pege os med lav/moderat selvtillid mod APT28, lad os alene en nationalstatssponsor. Vi mener dog, at vi har at gøre med en dygtig aktør baseret på, hvordan infrastrukturen, malware-kodning og drift blev sat op.”
Sikkerhed
Cybersikkerhed : 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologien er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere rettet mod SolarWinds-sårbarhed Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Regering | Sikkerheds-tv | Datastyring | CXO | Datacentre